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ji Æ: SM9-IBS 是 中 国 于 2016 年 公布 的 一 种 标识 签名 算法 行业 标准 。 标 识 签名 算法 虽然 降低 了 系统 管理 用 户 公 
钥 的 复杂 性 ， 但 是 却 存在 密 钥 撤销 的 难题 。 此 外 ，SM9 的 特殊 结构 使 得 已 有 技术 无 法 完全 适用 。 为 此 ， 提 出 了 一 种 
可 撤销 SMO 标识 签名 算法 ,可 快速 实现 对 用 户 签名 权限 的 撤销 和 更 新 操作 。 该 算法 引入 一 棵 完全 子 树 ， 密 钥 中 心 借 
助 该 树 为 每 个 合法 用 户 生成 临时 签名 密 钥 ， 只 有 使 用 该 密 钥 生成 的 签名 才 可 以 通过 签名 验证 。 在 安全 性 方面 ， 该 算 
法 在 随机 预言 机 模型 中 ， 被 证 明 在 适应 性 选择 消息 和 标识 攻击 模型 下 满足 存在 性 不 可 伪造 。 在 效率 方面 ， 该 方案 在 
密 钥 更 新 阶段 当 系 统 用 户 数量 较 大 、 被 撤销 用 户 数量 较 少 时 ， 密 钥 中 心 更 新 用 户 签 名 密 钥 的 时 间 开 销 远 小 于 Boneh 
等 人 的 更 新 技术 。 
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Efficient revocable SM9 identity-based signature algorithm 


— Zhang Boxin!, Geng Shengling?, Qin Baodong!' 
» (1. School of Cyberspace Security, Xi'an University of Posts & Telecommunications, Xi'an 710121, China; 2. School of 
Computer, Qinghai Normal University, Xining 810008, China) 


Abstract: SM9-IBS is an industry standard for identity-based signature (IBS) algorithms issued by China in 2016. Although 
the IBS algorithms can be reduce the complexity of management of user keys, they have the problem of key revocation. In 
addition, the existing technologies are not fully applicable to SM9-IBS due to its special algebraic structure of users’ secret 
keys. Therefore, this paper proposes an efficient revocable SM9 identity-based signature (shorted as CS-SM9-RIBS) algorithm, 
which can quickly revoke and update the user's signature authority. The algorithm introduces a complete subtree, which is 
used by the key generation center (KGC) generates temporary signature keys for each legitimate user, so that only the signature 
generated by this key can pass the signature verification. In terms of security, the new algorithm is proven to be existentially 
unforgeable under adaptive chosen message and identity attacks in the random oracle model. In terms of efficiency, when the 
number of users in the system is large and the number of revoked users is small in the key update stage, the time cost of the 
KGC to update the user's signature key is much smaller than Boneh et al. 's update technology. 

Key words: identity-based cryptosystem; SM9 signature algorithm; key revocation; complete subtree 


[= 0 “引言 加 密 三 种 ， 其 中 签名 算法 与 加 密 算 法 分 别 已 于 2018 年 11 HE 
c > 和 2021 年 2 月 (1 被 纳入 国际 标准 。SM9 因 其 结构 简单 ， 功 

1984 年 ，Shamirl 首 次 提出 了 标识 密码 (Identity-Based — 耗 低 等 优点 ， 在 密码 技术 和 网 络 空间 安全 领域 愈 来 愈 受到 广 
Cryptosystem) 的 概念 ， 包 括 标 识 加 密 算 法 (Identity-Based ” 泛 地 应 用 与 发 展 ， 如 文献 [12~16]。 
Encryption, IBE) 和 标识 签名 算法 (Identity-Based Signature, 虽然 标识 密码 体系 简化 了 用 户 公 钼 管理 的 环节 ， 但 是 包 
IBS)。 它 可 以 采用 用 户 昌 标识 ， 如 身份 证 号 、 手 机 号 、 FE SM9 在 内 的 标识 密码 算法 并 没有 提供 用 户 密 钥 撤销 机 制 ， 
电子 邮件 地 址 等 作为 用 户 公 钥 ， 由 密 钥 中 心 根据 系统 密 钥 以 旦 用 户 私 钥 泄 露 ， 用 户 标识 就 需 作废 无 法 继续 使 用 ， 否 则 
及 用 户 标识 生成 相应 的 用 户 私 钥 。 与 传统 公 钥 密 码 算法 相 比 ， 攻击 者 就 会 使 用 泄露 的 密 钥 访 问 用 户 所 有 的 密 文 或 者 代表 
标识 密码 算法 简化 了 PKUCA 应 用 中 的 证 书 分 发 和 公 钥 交换 。 户 签署 任何 文献 。 针 对 标识 密码 系统 的 密 钥 泄露 问题 ，200 
的 过 程 ， 降 低 了 密 钥 和 证 书 管理 的 复杂 性 。2000 年 ，Ohgishi — 年 ，Boneh 等 人 BI] 提出 利用 身份 标识 级 联 时 间 惟 作为 用 户 | 
和 KasaharaP] 发 表 了 一 篇 使 用 椭圆 曲线 对 提出 的 基于 身份 的 ”时 身份 , 例如 1D || 2022.01 , 密 钥 中 心 定 期 将 相应 的 密 钥 发 送 多 
密 钥 共享 方案 。 直 到 2001 年 ,Boneh fil Franklin 1L & Cocks! ” 未 被 撤销 的 用 户 。 该 方法 具有 通用 性 ， 适 用 于 任意 标识 密 
才 分 别 给 出 首 个 标识 加 密 算 法 (Identity-Based Encryption, fi 系统 ， 但 是 密 钥 中 心 更 新 密 钥 的 复杂 度 与 系统 用 户 数量 线 
称 IBE) 的 构造 。 随 后 ， 美 国 ， 英 国 和 日 本 开始 设计 相应 的 算 MK, 为 0(WW-R)，, 其 中 N 是 系统 用 户 数 量 ，R 是 被 撤销 
法 ， 如 文献 [5~8]。 数量 。 此 外 , 该 方法 需要 安全 信道 传输 用 户 的 密 钥 。2008 年 ， 

中 国 国家 密码 学 管理 局 于 2008 年 正式 发 布 了 SM9[9 商  —Boldyreva 等 人 07 提 出 第 一 个 高 效 的 可 撤销 BE 方案 。 该 方 
用 标识 密码 算法 ,并 于 2016 年 3 月 28 日 发 布 并 实施 了 SM9 ” 案 为 每 个 用 户 预 分 配 一 组 长 期 密 钥 并 利用 完全 子 树 履 盖 技 术 
标识 密码 算法 标准 。SM9 系列 算法 包括 密 钥 交换 ,签名 以 及 ”实现 用 户 临 时 密 钥 的 安全 更 新 ， 从 而 使 得 密 钥 更 新 的 复杂 度 
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从 线性 降 至 O(R-logQN 7 )) ， 且 不 需要 安全 信道 传输 更 新 密 钥 。 数 , SJ (eG. Gs Gr pgh), KG. GIG; 是 阶 为 素数 
近年 来 ， 一 些 学 者 从 适应 性 身份 安全 性 9、 临时 密 钥 泄 露 攻 P 的 循环 群 ， 映 射 e:G,xG, 一 Gr 为 双 线性 对 ， 8 Rn pA 


击 09、 更 新 密 钥 的 复杂 性 PC 、 抗 量子 计算 攻击 避 2 、 云 计算 G, 和 G, 的 生成 元 。 一 个 双 线 性 映射 应 该 满足 以 下 性 质 : 

甫 助 撤 销 己 -225 等 方面 ， 提 出 了 一 系列 可 撤销 的 标识 密码 方案 。 a) 双 线 性 性 : 对 于 任意 的 ,psZ, ， 有 。e(g*,12)=e(s” ; 
这 些 方 法 主要 利用 完全 子 树 (Complete Subtree, CSH s BU b) 非 退 化 性 : 38 6G. 2: €G, JHE e(l; 

或 子 集合 差分 (Subset Difference，SD) 技 术 确定 更 新 节点 数量 ， c) 可 计算 性 : 对 于 任意 的 8 Mh, 存在 有 效 多 项 式 时 间 
从 而 降低 更 新 密 钥 的 复杂 性 。 同 时 ， 利 用 主 密 钥 与 用 户 密 钥 算法 计算 e(g,) o 


之 间 存 在 的 同 态 性 质 ,计算 各 个 更 新 节点 的 更 新 密 钥 ,然而 ， 1.3 困难 问题 假设 

SM9“ 指 数 倒置 ”的 特殊 代数 结构 ， 使 得 构造 上 述 方法 无 法 直 本 节 主 要 介绍 文献 [27] 提 出 的 SM9 签名 算法 满足 适应 性 
接 用 于 SM9 标识 密码 系统 。2019 E, Ma 等 人 P9 利 用 完全 子 ”选择 消息 和 标识 攻击 下 的 存在 性 不 可 伪造 攻击 安全 性 
树 覆 盖 技 术 提 出 一 种 构造 可 撤销 标识 加 密 方案 的 通用 方法 。 (Existentially Unforgeable against adaptive Chosen Message and 
与 文献 [3] 中 的 通用 方法 相 比 ， 该 方法 将 更 新 密 钥 的 复杂 度 从 —— Identity Attacks， 简 称 EU-CMIA 安全 性 ) 依 赖 的 q-SDH 问题 
O(N - R) 降 至 O(R-dog(N/ R)) ， 但 是 密 文 长 度 从 OO 扩展 到 了 (q-strong Diffie-Hellman)。 令 e: G, xG, > Gr 为 一 个 双 线 性 映射 ， 
O(logN) ,或 者 依赖 基于 身份 的 广播 加 密 。 将 该 方法 直接 应 用 8 JI h 4 9E C. 和 G, 的 生成 元 , FEG C 和 Gr BETIS P o 


到 SM9 上 ， 密 文 的 数量 至 少 为 0logN) ， 效 率 较 低 。 截 止 目 则 基于 双 线 性 群 的 q-SDH 问题 的 定义 如 下 : 

前 ， 还 没有 针对 SM9 签名 算法 的 高 效 密 钥 撤销 机 制 的 研究 。 定义 1  qSDH 问题 。 己 知 a2 ^R HE 260 X 
解决 思路 : 针对 标识 加 密 算法 ，Ma 等 人 P9 提 出 的 更 新 (gue, h? JsGixG9 ,其 中 a 未知, 找到 一 个 二 元 组 e, geo), 

密 钥 的 主要 思想 是 : 通过 引入 一 棵 完全 子 树 ， 将 用 户 的 身份 Krpeez,, 

标识 与 该 树叶 子 节点 一 一 对 应 。 在 更 新 密 钥 时 ， 利 用 完全 子 Zi q-SDH 问题 在 多 项 式 时 间 内 可 解 的 概率 是 可 忽略 的 ， 

树 履 盖 技 术 确 定 仅 履 盖 未 被 撤销 用 户 的 最 小 节点 集合 ， 再 利 则 称 q-SDH 假设 成 立 。 


用 时 间 戳 级 联 更 新 节点 信息 作为 更 新 标识 ， 计 算出 更 新 密 钥 1.4 SMO-IBS 标识 签名 算法 
集合 。 在 加 密 时 ， 由 于 发 送 者 需要 将 时 间 惟 与 接收 者 身份 标 SM9 标识 签名 算法 (简称 SM9-IBS 算法 )， 包 括 4 个 ( 概 
识 对 应 的 叶子 节点 到 根 节 点 路 径 上 的 所 有 节点 信息 级 联 作 为 。 率 ) 多 项 式 时 间 算 法 : 系统 参数 生成 算法 、 用 户 密 钥 提 取 算 法 、 


临时 身份 标识 用 于 加 密 消 息 ， 从 而 使 得 密 文 数量 至 少 为 。” 签名 生成 算法 和 验证 算法 。 

O(logN) 。 受 此 思想 的 启发 ， 针 对 SM9 标识 签名 算法 ， 可 以 下 面 本 文 简要 回顾 SM9-IBS 算法 。 

采用 同样 的 更 新 密 钥 的 策略 并 利用 长 期 密 钥 和 更 新 密 钥 生成 a) 系统 参数 SM9.Setup(1) ; 输入 安全 参数 1 , 密 钥 中 心 首 
消息 的 两 份 签名 。 但 是 ， 用 户 在 验证 签名 的 合法 性 时 ， 除 了 先 运 行 算法 POO 生成 一 个 双 线 性 对 配对 群 


利用 签名 者 的 身份 标识 进行 一 次 验 签 外 ， 还 要 利用 至 少 g=(e,G G Gr: P:8-A); 然后 ,选取 随机 数 seZ,， 计算 Pons ce 


Odog N) 个 临时 标识 进行 验 签 , 从 而 使 得 签名 验证 算法 的 效率 和 w=e(g,h)”。 则 系统 的 主公 钥 和 主 私 钥 分 别 为 

较 低 。 为 了 解决 该 问题 ， 本 文 在 签名 时 ， 将 使 用 的 更 新 密 钥 mpk =(9, Ps,u, H (id), hid) (1) 
的 节点 信息 嵌入 到 签名 中 ， 用 户 首先 验证 嵌入 的 节点 信息 是 msk=s Q) 
和 否 在 用 户 的 路 径 上 ， 再 使 用 该 节点 信息 (作为 临时 标识 ) 验 证 其 中 H(id) 是 密码 函数 H2RF(H,,id, p), hid-3 。 假 设 系统 的 主公 
签名 的 合法 性 ， 从 而 使 得 验 签 次 数 降 至 2 次 。 钥 作为 其 他 算法 的 默认 输入 ， 而 省 略 不 写 。 

本 文 工 作 : 本 文 提 出 了 一 种 可 撤销 SM9 标识 签名 算法 b) 用 户 密 钥 SM9.Extractonsk,id) : 对 于 身份 标识 为 i4 的 用 

(简称 CS-SM9-RIBS), 它 利 用 完全 子 树 实 现在 SM9 标识 签名 户 ， 密 钥 生 成 中 心 为 用 户 计 算 签名 私 钥 为 

法 中 对 用 户 密 钥 的 撤销 和 更 新 机 制 。 在 该 算法 中 ， 密 钥 中 ， 

心 会 根据 用 户 的 身份 生成 一 个 长 期 签名 密 钥 ， 根 据 更 新 节点 WB ean e 
集合 生成 更 新 密 钥 并 发 送 给 用 户 ， 使 得 只 有 未 被 撤销 的 用 户 则 签名 者 公 钥 为 if ， 私 钥 为 dsa o 
才能 合成 一 个 合法 的 临时 签名 密 钥 , 用 于 签名 消息 。 与 Boneh c) 签名 SM9.Sign(dsis,M) : 身份 标识 为 ia 的 签名 者 对 消息 
等 人 D 的 方案 (简称 BF-SM9-RIBS) 相 比 ， 该 方案 不 需要 数据 M 进行 签名 ， 签 名 过 程 如 下 : 

发 送 者 和 服务 器 之 间 建 立 一 条 安全 信道 ， 并 且 更 新 密 钥 的 数 (a) 计算 w=w ， 其 中 7 为 随机 数 且 满足 re2,; 

量 也 大 大 降低 : 从 0(N-R) 降 至 O(R-dogQN / R)) 。 通 过 实验 分 析 (b) 计算 h-H2RF(H,.M lw. p) ; 
表明 ， 当 系统 用 户 数量 为 Y=22=8192 ， 被 撤销 用 户 数量 (c) 计算 /=(r- 有 modp ， 若 1=0 ， 则 返回 第 二 步 ; 

R e[0,100] 时 , BF-SM9-RIBS 方案 密 钥 更 新 的 时 间 约 为 45 秒 ， (d) 计算 5=dsh o 

而 CS-SM9-RIBS 方案 所 需要 时 间 在 15 秒 以 下 。 则 签名 者 对 消息 的 签名 结果 为 o=(h,5)。 


d) 验证 SMO.VerifyGid, M',o^) : 验证 者 在 收 到 签名 者 的 身份 
标识 id , 消息 M' 和 签名 结果 o'=(h,5') 后 , 执行 以 下 步骤 进行 


1 ”基础 知识 


1.1 符号 说 明 签名 验证 。 
在 本 文中 , * ALB ”表示 将 两 个 比特 串 A 和 B 进行 级 联 。 (a) 计算 1=w"; 
E $ 是 一 个 算法 ， 则 ses 表示 执行 算法 S 输出 的 结果 为 s; (b) 计算 P=2 Pow ; 
E S 是 一 个 集合 ， 则 ss 表示 从 集合 S 中 以 均匀 随机 分 布 (c) 计算 w=a:t， 其 中 &=e(S',P)，; 
选取 一 个 元 素 s。 (d) 计算 为 =H2RF(H,,M'||w,p) ; 
在 SM9 算法 中 ， (e) Fhe, MEARI; BURR. 
a) H, 为 输入 为 任意 比特 串 ， 输 出 为 v 比特 的 密码 杂凑 函数 。 注释 1: 为 了 提高 签名 和 验证 算法 的 效率 ， 可 以 将 原始 
b) HORF(H,.Z. p) 为 输入 为 密码 杂凑 函数 及 ,比特 串 Z 和 SM9-IBS 算法 中 计算 的 固定 值 w=e(g,PB,) 放 到 系统 公 钥 中 ， 
整数 p， 和 输出 为 整数 As[p-1 的 密码 函数 。 从 而 使 得 签名 和 验证 算法 都 减少 一 次 双 线 性 配对 运算 ， 而 系 
1.2 双 线 性 映射 统 公 钥 将 增加 一 个 群 G+ 上 的 元 素 。 
4 PO^) 表示 一 个 双 线 性 对 群生 成 算法 , 输入 L 为 安全 参 标识 签名 算法 的 EU-CMIA 安全 模型 : 在 标识 签名 算法 
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中 ， 适 应 性 选择 消息 和 标识 攻击 下 的 存在 性 不 可 伪造 EU- 


CMIA 安全 模型 的 定义 与 传统 签名 算法 的 安全 模型 定义 类 似 ， 


除了 平凡 的 询问 外 ， 人 允许 攻击 者 选择 任意 标识 并 获取 相应 的 


签名 密 钥 , 以 及 任意 消息 并 获取 签名 结果 , 具体 参见 文献 [27]。 


在 该 模型 下 ， 有 以 下 结论 
定理 1 SMO-IBS 的 安全 性 PI。 在 随机 预言 机 模型 下 ， 
如 果 q-SDH 问题 是 困难 的 ， 则 SM9-IBS 满足 EU-CMIA 安全 性 。 
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录用 定稿 KIPE, F: 高 效 的 可 撤销 SM9 标识 签名 算法 E E o3 


行 。 它 输入 用 户 的 长 期 签名 密 钥 dsa 和 更 新 密 钥 集 合 uk 。 若 
备 时 签名 密 钥 idus (该 


该 用 户 未 被 撤销 , 则 算法 输出 为 用 户 的 临 


签名 密 钥 不 仅 包含 了 用 户 的 身份 过 和 更 新 的 


包含 了 对 应 的 更 新 节点 信息 9)。 


IRE TRI f, 


同时 也 


f) 签名 Signtsdu,. M) : 该 算法 由 数据 签名 者 执行 。 它 的 输 


入 为 原始 消息 M， 用户 临时 签名 密 钥 das, Y] 


算出 消息 W 的 


签名 ac 。 该 签名 包含 了 时 间 周 期 和 更 新 节点 信息 。 最 后 ， 将 


2  CS-SM9-RIBS 标识 签名 算法 


2.1 RIBS 的 定义 
图 1 给 出 了 可 撤销 标识 数字 签名 算法 的 系统 模型 ， 它 
含 以 下 四 个 实体 : 

a) 密 钥 中 心 (KGC): 主要 负责 产生 系统 主公 钥 mpk 和 主 
私 钥 msk ， 为 身份 标识 为 id 的 用 户 生成 长 期 签名 密 钥 dsa ， 
生成 更 新 密 钥 集 合 wk ， 维 护 用 户 撤销 列表 RL 及 一 个 与 所 有 
用 户 身份 标识 id 对 应 的 身份 二 又 树 Tree 。 

b) 数据 签名 者 (DS): 主要 负责 计算 原始 消息 M 的 数字 

AW. 

c) 存储 服务 器 (SS): 主要 负责 存储 用 户 的 签名 。 

d) 签名 验证 者 (SV): 主要 负责 对 接收 到 的 签名 o 进行 合 
法 性 验证 。 


密 钥 中 心 


主 私 钥 

n n E: 

le . 
主公 钥 


Pr 7 四、 
期 H n D D; [ 
khaa D - HN 
z P ss | FS 9 ! 接受 /拒绝 
m H> | — — 1 
E w | Da 数字 签名 
Pp ee | 存储 服务 器 ] l 
EC g 


图 1 RIBS 系统 模型 
Fig. 1 System model of RIBS 
定义 2 RIBS 的 定义 。 一 个 RIBS 算法 包含 系统 参数 生 
成 算法 、 用 户 注册 算法 、 未 撤销 用 户 的 更 新 节点 生成 算法 、 
更 新 密 钥 生 成 算法 、 临 时 签名 密 钥 生 成 算法 、 签 名 算法 、 验 


T 


消息 和 签名 (M0) 一 同 发 送 给 存储 服务 器 进行 


储存 o 


g) 验证 Verify(id,M,o) : 该 算法 由 签名 验证 
的 输入 为 签名 者 的 身份 标识 i4、 消 息 M 和 签名 。 输 
的 验证 结果 。 若 签名 合法 ， 则 输出 1， 否 则 


h) 用 户 撤销 Revoke(d,t, RL) : 该 算法 


的 输入 为 被 撤销 的 用 户 身份 标识 过 、 时 间 
列表 RL 。 密 钥 中 心 将 Guia) 加 入 撤销 列表 , 返 


列表 RL 。 
22 安全 模型 


为 刻画 方案 具有 密 钥 撤销 机 制 ， 本 文通 过 
者 的 游戏 描述 适应 性 选择 消息 和 标识 攻击 | 


造 攻 击 (EU-CMIA 安全 性 )。 在 该 模型 中 


ux 
UT 
周 其 


输 


证 在 >t 时 刻 ， 攻 击 者 无 法 生成 该 用 户 的 一 个 


定义 3 RIBS 的 EU-CMIA 安全 性 。 


攻击 者 


下 的 存在 性 不 可 伪 
， 攻 击 者 可 以 询问 任 
意 用 户 的 长 期 签名 密 钥 , 当 某 一 用 户 的 签名 密 钥 泄 露 (被 攻击 
者 询问 ) 并 在 1 时 刻 被 密 钥 中 心 撤销 时 ， 方案 的 安全 性 能 够 保 


合法 签 


者 执行 。 算 法 


出 签名 


与 挑战 


签名 。 


假设 A 是 任意 一 个 


概率 多 项 式 时 间 攻击 者 ，C 是 一 个 挑战 者 。 定 义 RIBS 的 安 


全 性 游戏 ESOO 如 下 : 


a) 系统 建立 : 挑战 者 通过 运行 系统 参数 4 
Setup(^) ， 生 成 系统 主公 钥 mpk 和 主 私 钥 msk ， 并 初始 


成 算法 


化 一 个 


空 的 密 钥 撤销 列表 RL 和 一 个 满 二 又 树 Tree 。 挑 战 者 将 系统 公 


钥 mpk 发 送 给 攻击 者 。 


b) 询问 : 攻击 者 可 以 适应 性 地 询问 进行 以 下 询问 , 询问 


的 次 数 为 多 项 式 次 : 


(a) 用 户 长 期 签名 密 钥 询问 . 挑战 者 初始 化 一 
 。 当 攻击 者 询问 身份 标识 为 id 的 用 = 长 期 签名 密 铀 时 ， 挑 


战 者 通过 执行 用 户 注 册 算 法 RegistOnsk, id) 7 
可 给 攻击 者 。 同 时 ， 挑 战 者 将 身份 标识 id 添加 到 集合 中。 


生成 密 钥 dsa ik 
H 


^48 


A 


(o) 更 新 密 钥 询问 . 当 攻 击 者 询问 上 时 刻 的 更 新 密 钥 时 ， 
挑战 者 首先 执行 更 新 节点 生成 算法 KUNode(Tree,RL.D 得 到 上 时 


刻 的 更 新 节点 集合 KUNodes ; 然后 执行 更 新 密 钥 生 
UpdateK(msk,t, KUNodes) 得 到 上 时 刻 的 更 新 密 钥 集合 uk, 


返回 给 攻击 者 。 


证 算法 和 用 户 撤销 算法 8 个 (概率 ) 多 项 式 时 间 算 法 ， 有 具体 如 
F: 

a) 系统 参数 Setup(7) : 该 算法 由 密 钥 中 心 负责 执行 。 它 的 
输入 为 安全 参数 14, 输出 为 系统 的 主公 钥 mpk 和 主 私 钥 msk 。 
此 外 , 密 钥 中 心 维护 一 个 初始 化 为 空 集 的 撤销 列表 RL ， 以 及 

个 与 所 有 用 户 身份 标识 id 对 应 的 满 二 叉 树 Tree 。 

b) 用 户 注 册 Registonsk,id) ; 该 算法 由 密 钥 生成 中 心 负责 
执行 。 它 的 输入 为 系统 的 主 私 钥 和 用 户 的 身份 标识 ia ， 将 用 
户 的 身份 标识 id 加 入 到 Tree ， 并 输出 用 户 的 长 期 签名 密 钥 
dSa o 

c) 更 新 节点 KUNode(Tree, RL,t) ; 该 算法 
它 输入 身份 二 叉 树 Tree ， 撤 销 列表 RL 和 时 间 + 
要 生成 更 新 密 钥 的 节点 集合 KUNodes 。 

d) 更 新 密 钥 UpdateK(msk,t, KUNodes) : 该 算法 由 密 钥 中 心 
执行 。 输 入 为 系统 主 私 钥 msk ， 时 间 t 以 及 未 撤销 结集 合 
KUNodes ， 输 出 为 更 新 密 钥 集合 wk, ， 并 通过 公开 信道 广播 给 
系统 用 户 。 

e) 临时 签名 密 钥 TempK(dsu.uk) : 该 算法 由 数据 签名 者 执 


Ñ 


钥 中 心 执行 。 
输出 所 有 需 


(c) 签名 询问 . 挑战 者 初始 化 一 个 空 集合 L.X 


IRE Lr. 


c) 伪造 . 攻击 者 返回 一 个 伪造 的 签名 


身份 标识 if* 和 时 间 r*， 并 满足 以 下 限制 条 


(d) 用 户 撤 销 询问 . 当 攻 击 者 询问 上 时 刻 
用 户 撤 销 时 ， 挑 战 者 将 (uia) 添加 到 用 户 撤销 列表 RL 中 。 
上 00 cc ) 以 及 


Z9 


H 


e(t 


(a) EHAE e 或 之 前 时 刻 未 撤销 , 即 不 存在 zs 六 


(wid")eRL ， 则 攻击 者 不 能 访问 过 身份 标识 ia' 的 长 其 


4H, BJ id'eL JE BL (ar MeL ; 


成 算法 


,并 将 它 


击 者 询 


问 消息 M. 在 身份 标识 为 i 和 时 刻 + 下 的 签名 时 ， 挑 战 者 先 利 
用 该 用 户 ia 的 长 期 签名 密 钥 dsa 和 1 时 刻 的 更 新 密 钥 集合 uk ， 
通过 临时 签名 密 钥 生成 算法 生成 该 用 户 的 临时 签名 密 钥 
tsdu, ; 然后 , 利用 签名 算法 Sign(isdw,,M) 生成 消息 W 的 
并 将 该 签名 返回 给 攻击 者 。 同时, 挑战 者 将 元 素 d.n M) 添加 


签名 c ， 


的 标识 为 这 的 


签名 


(b) 车 用 户 在 或 之 前 时 刻 已 撤销 ， 即 存在 +1<t* ， 使 得 
(id) e RL ， 则 攻击 者 可 以 询问 身份 标识 id" 的 长 期 签名 密 钥 ， 


Hl id eL. 


d) 输出 . 若 攻 击 者 伪造 的 签名 信息 满足 限制 条 件 ， 


at 
Ke 


录用 定稿 


识 长 度 为 n 比特 ， 


这 的 用 户 注册 请 求 后 ， 为 用 户 注 册 生 成 一 个 长 
过 程 如 下 : 
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" 
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撤销 列表 RL 和 时 i 
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点 表示 被 撤销 的 


在 上 述 游 戏 中 ，A 成 功 的 概率 定义 为 


Pr[A 成 功 ] = Pr[Expkis 4^4) =1] 


n5 


I3 


IKE, 


过 签名 验证 算法 , 则 表示 攻击 者 伪造 成 功 , 挑战 者 返 
否则 返回 0。 
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Hu 


l; 


(4) 


R A 成 功 的 概率 (关于 安全 参数 4) 是 可 忽略 的 ， 则 称 
RIBS 算法 是 EU-CMIA 安全 的 。 
2.3 算法 设计 


本 节 利 用 完全 子 树 履 盖 技 术 , 设计 一 种 可 撤销 SM9 标识 


签名 算法 ( 记 作 CS-SM9-RIBS)。 上 有 具体 构造 如 下 ; 
a) 系统 参数 Sep) : 在 输入 安全 参数 1 后 ， 
数 的 过 程 如 下 : 


生成 系统 参 


(a) 密 钥 中 心 运行 算法 Pd 生成 一 个 双 线 性 配对 群 


9=(e,G,G,,Gr,p,8,h) ， 密 钥 中 心 选择 一 个 随机 元 素 5e2Z,， 并 


Pays, 和 u= e(g. Paes) 


图 3 用 户 id=3 被 撤销 
Fig.3 The user identified as id =3 was revoked 
d) 更 新 密 钥 UpdateK(msk,t, KUNodes) ， 在 输入 系统 密 钥 
msk ， 时 间 上 以 及 更 新 节点 集合 KUNodes 后 ， 密 钥 中 心 首 先 计 


(5) 


4 Hd) -H2RF(H,.id.p). hid-3. 假设 每 个 


(b) 输出 系统 的 主公 钥 mpk 和 主 私 钥 msk : 


mpk = (G, Ps su, HC), hid) 


msk=s 


用 户 的 身份 标 
则 密 钥 中 心 初始 化 一 棵 高 度 为 n+1 的 满 二 
SUB Tree 以 及 一 个 空 的 用 户 撤 销 列表 RL o 


(6) 
(7) 


b) 用 户 注 册 Registerimsk.id) : 密 钥 中 心 在 收 到 身份 标识 为 


期 签名 密 钥 的 


(a) 密 钥 中 心 使 用 SM9 的 密 钥 提 取 算法 为 标识 为 ia 的 用 


3 生成 签名 密 钥 dsa, BI: 


ds;, «— SM9.Extract(msk, id) 


(b) 密 钥 中 心 选 择 一 个 与 用 户 身 份 标 识 匹配 的 叶子 节点 ， 
将 id 添 加 到 Tree E; 


(c) 将 用 户 长 期 签名 密 钥 ds 发 送 给 用 户 。 


(8) 


c) 更 新 节点 KUNode(Tree, RL,t) : 在 输入 身份 二 叉 树 Tree ， 


(a) SRA XY; 


aJt & 9 为 Tree 的 非 叶 子 节 
分 别 为 9 的 左 子 节点 和 右 子 节点 ，Path(bs) 为 根 节 
点 % 路 径 上 所 有 节点 的 引 


LH 点 ， 0, 和 9, 
H sx Sm T 
ES. ， 未 撤销 节点 生成 过 程 如 下 : 


(b) X} va^id)eRL EL «t, Path(,) rpg — 4-35 jS 


加 到 集合 X 中 。 


(c) 对 VOeX: 
如 果 4eX ， 则 将 4 添加 到 集合 了 F; 
如 果 &eX ， 则 将 0 添加 到 集合 y 中 。 


(e) 令 KUNodes-Y ， 并 输出 KUNodes 。 


(d) 如 果 了 = 纪 ， 那 么 将 根 节点 root 添加 到 集合 了 中 ， 


图 2 和 图 3 给 出 了 更 新 节点 选择 算法 的 两 个 具体 示例 。 


在 该 示例 中 ， 二 又 树 的 高 度 为 4( 用 户 的 身份 标识 长 度 为 3 比 
特 )， 蓝 色 节 点 表示 当前 KUNodes 所 包含 的 更 新 节点 ， 虚 线 节 
户 节 点 。 在 图 2 中 ,无 用 户 被 撤销 , KUNodes 
仅 包 含 根 节点 , 即 (oo ; 在 图 3 中 , 标识 为 i4=3 的 用 户 被 撤 
销 ， KUNodes ={00,010,1} 。 


图 2 无 用 户 被 撤销 


Fig.2 No user was revoked 


5 时 间 和 更 新 节 点 组 成 的 更 新 标识 集合 UID ={t || O}ocxunoaes o 
对 于 集合 UID 中 的 每 个 标识 uid =t ， 调 用 SM9 的 密 钥 提 取 
算法 ， 生成 相应 的 标识 密 钥 ， 即 


dslo €- SM9.Extract(msk,uid) (9) 
S uko=dsy 。 则 更 新 密 钥 集 合 大 
uk, = {uk, nnm KUNodes (10) 


密 钥 中 心 通过 公开 信道 广播 给 系统 用 户 。 

e) 临 时 签名 密 钥 TempK(dsu.uk) : 在 输入 用 户 的 长 期 签名 
密 钥 dsa 和 更 新 密 钥 集合 wk 后 ， 用 户 执 行 以 下 步 又 : 

(a) 若 该 用 户 未 被 撤销 ， 则 用 户 路 径 上 的 节点 集合 
Path(b,) 与 更 新 节点 集合 KUNodes 一 定 存 在 一 个 且 唯 一 的 公 
共 节 点 9 。 用 户 找到 该 节点 对 应 的 更 新 密 钥 w。， 并 将 临时 签 
名 密 钥 定义 为 guw =dsua lukal; 知 该 用 户 已 被 撤销 ， 则 不 存 
在 公共 的 更 新 节点 2 ， 用 户 将 临时 签名 密 钥 定义 为 终止 符 ， 
HI saw =L ; 

(b) 返回 临时 签名 密 钥 sdw o 

f) 签名 Signasdu, M) ; 在 输入 明文 消息 M ,用 户 的 临时 签 
名 密 钥 du 后 ， 该 算法 执行 过 程 如 下 : 

(a) 车 临时 签名 密 钥 du. =L, 则 用 户 终止 算法 并 返回 14; 
否则 执行 步 又 (b); 

(b) 根据 临时 签名 密 钥 恢复 出 用 户 的 长 期 签名 密 钥 dsa, 
更 新 密 钥 wk 以 及 更 新 节点 信息 9, 并 令 履 =Mllll9 (假设 不 同 
的 消息 、 时 间 和 更 新 节点 级 联 的 结果 不 同 )。 

(c) 以 dsa 作为 签名 密 钥 ， 执 行 SM9 签名 算法 ， 生 成 消 
息 砂 的 第 一 部 分 签名 oe-0.50, BI 
(hj, 5,) €- SM9.Sign(ds,,, M) ( 

(d) 以 wk 作为 签名 密 钥 ， 再 次 执行 SM9 签名 算法 ， 生 
BE EM 的 第 二 部 分 签名 0b=(w,5,) ， 即 

(用 ,9 ) «- SM9.Sign(uk, y, M ) (12) 

(e) $ e-(,.o,.110 为 最 终 签 名 发 送 给 存储 服务 器 进行 
存储 。 

g) 签名 验证 Verify(id,M,o) : 在 输入 签名 者 的 身份 标识 id 、 
消息 M 和 签名 o 后 ， 签 名 验证 过 程 如 下 : 

(a) 签名 验证 者 收 到 签名 c=(c,o:tl6) 之 后 ， 将 其 拆 分 
为 am，omm 和 如 2 三 部 分 。 验 证 者 首先 判断 节点 0 是否 在 路 径 
Path(0.) 上 。 如 果 不 是 ， 则 算法 终止 并 返回 0; 和 否则， 执行 步 
又 (b); 

(b) UEA M =M |e ,使 用 签名 者 的 身份 标识 记 利 
用 SM9 签名 验证 算法 对 消息 M 和 签名 a 进行 验证 ， 验 证 结 
果 记 为 ， 即 : 


— 
— 
— 


Gn E 


b, + SM9. Verify(id, M ,o,) (13) 

如 果 b=0， 则 算法 终止 并 返回 0， 和 否则， 执行 步骤 (ec); 

(c) 接 下 来 验证 者 使 用 更 新 标识 9 利用 SM9 签名 验证 
算法 对 消息 M 和 签名 0 进行 验证 ， 验 证 结果 记 为 bb， 即 

b, «- SM9.Verify(1||0, M ,o,) (14) 

如 果 户 =0， 则 算法 终止 并 返回 0; FW, WTH (d); 
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(d) 


IHE, F: 


F 述 验证 均 通 过 ， 算 法 返回 1。 

h) 用 户 撤销 Revoke(id,t, RD) : 在 输入 被 撤销 用 户 身份 标识 
这 、 时 间 周 期 上 和 撤销 列表 RL 后 ， 若 存在 元 素 (0,id)eRL 
1<f ， 则 直接 返回 否则， 将 uia) 加 入 撤销 列表 RL, BE 
RLU(t,id) 。 
正确 性 : 假设 c=(c,o:tll2) 是 利用 签名 算法 Sign(M ,tsdi,) 


高 效 的 可 撤销 SM9 标识 签名 算法 


销 列表 时 ， 的 撤销 的 


在 元 素 Cid), Jy 
RLU(t,id) 。 


c) 伪造 . 当 攻击 者 A 结束 上 述 询 


n, RE 
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LH 


原 撤销 列表 RL ; fü 


第 39 卷 第 9 期 


j 户 撤销 时 ，B 首先 查找 集合 RL 是 否 存 
Prst o FFE, NDE 


不 


问 后 , 输出 一 个 伪造 的 


签名 信息 Mo) 以 及 挑战 身份 标识 这 PURSE TR] n o 


d) 输出 . 35 00.0 是 一 个 合法 的 


计算 的 签名 。 因 为 =(4,51) 是 利用 标识 为 这 的 SM9 签名 密 
钥 ds, 对 消息 M 的 签名 , 根据 SM9 签名 算法 的 正确 性 ， 则 验 
证 算法 在 第 (b) 步 输出 结果 应 为 b=1; 

车 用 户 id 在 时 刻 1 未 被 撤销 ， 根 据 更 新 节点 选择 算法 ， 
用 户 能 够 从 更 新 密 钥 中 获取 临时 签名 密 钥 Uko 。 该 密 钥 对 应 
的 身份 标识 为 圳 2 ， 并 且 6 属于 路 径 Path(9,) 上 的 点 。 因 此 ， 
步骤 (3) 的 验证 通过 。 由 于 om 7 05.5) 是 利用 标识 为 :9 的 SM9 
签名 密 钥 vos, M 的 签名 ， 根 据 SM9 签名 算法 的 正确 
性 ， 则 验证 算法 在 第 (c) 步 输出 结果 应 为 户 =1 。 

综 上 ，CS-SM9-RIBS 签名 算法 满足 正确 性 。 
3 ”安全 性 分 析 

定理 2 CS-SM9-RIBS 的 安全 性 。 假设 A 是 任意 一 个 概 
率 多 项 式 时间 算 法 ， 工 是 一 个 CS-SM9-RIBS 签名 算法 。 若 
A 能 够 以 概率 成 功 攻 击 工 的 EU-CMIA 安全 性 ， 那 么 存在 
另 一 个 概率 多 项 式 时 间 算 法 B， 以 相同 的 概率 成 功 伪造 原始 
SM9-IBS 的 一 个 签名 。 

证 明 本文 利用 算法 A 作为 子 程序 , 构造 一 个 仿真 算法 
B 在 EU-CMIA 模型 下 ， 伪 造 SM9-IBS 签名 算法 的 签名 。 念 
真 算 法 B 按照 如 下 方式 模拟 攻击 者 A 在 游戏 Expresa^ ^) 中 
的 环境 。 

a) 系统 建立 :仿真 算法 B 首先 询问 SM9-IBS 的 挑战 者 ， 
获取 SM9-IBS 的 一 个 挑战 主公 钥 mpk , 包括 双 线 性 对 配对 群 
9=(e,G1,G,,Gr,p,8,h) ， 公 钥 元 素 Pros, 和 密码 函数 已 (id) 及 
其 标识 hid o B 将 主公 钥 mk 发 送 给 攻击 者 A。 同 时 ，B 初始 
化 一 个 空 的 密 钥 撤销 列表 RL 、 一 棵 满 二 叉 树 Tree 以 及 两 个 空 
集合 石和 三。 

b) 询问 : B 通过 如 下 方式 回答 攻击 者 的 询问 : 

(a) 用 户 长 期 签名 密 钥 询问 . 当 攻 击 者 A 询问 身份 标识 
X id 的 用 户 长 期 签名 密 钥 时 ，B 将 这 发 送 给 SM9-IBS 的 所 
战 者 ， 从 而 获取 身份 标识 为 ia 的 密 钥 dsa 并 将 它 返回 给 攻击 
者 A。 同时 ，A 将 身 (id,dsi) 添加 到 集合 五 中 。 

(b) 更 新 密 钥 询问 . 当 A 询问 1 时 刻 的 更 新 密 钥 时 , B 首 
先 根据 算法 KUNode(Tree,RLD 计算 t+ 时刻 的 更 新 节点 集合 
KUNodes ; 然后 确定 更 新 节点 标识 集合 UD ={t || 0}ocrowwis o X} F 


xd 


户 路 径 。 则 B 定义 


其 中 e'-(rnonnqe», ， 则 该 签名 必须 通过 


CS-SM9-RIBS 签名 ， 


nib, o 必须 是 | 
加 


HI @,id*)eRL 


挑战 ) 


居 更 新 节点 各 
KUNode(Tree, RL,t*) 输出 的 更 新 节点 集 


户 的 路 径 Patha) 上 的 节点 。 


H A ifj 
] 户 必须 在 + 之 前 
成 算法 


中 下 方式 返回 消息 m 的 一 个 伪造 SM9-IBS 42445 o7 : 
(a) 若 Gd.9eL ， 表 明 A 从 未 询问 过 身份 标识 为 好 的 密 
48, WB 输出 伪造 签名 严 =af ; 

OFTE Gd*.)eL ， 则 表 昌 
钥 。 根据 游戏 规则 , 该 
。 根 j 


i. M M'eo, 


E. B 从 未 询问 过 标识 为 ~1l2 的 密 钥 及 
HIERE F =o. 
通过 上 述 分 析 ，B 
中 的 游戏 环境 。 同 


Ht 


NOE 


[签名 验证 算法 。 特 


按 


问 过 身份 标识 id' 的 密 
的 某 时 刻 : 被 撤销 ， 

， 在 时 刻 ， 算 法 
合 KUNodes 肯定 不 包含 
E, 在 整个 游戏 过 程 
名 。 此 时 ，B 输 


能 够 完美 地 仿真 A 在 CS-SM9-RIBS 
时 ， 若 攻击 者 能 够 成 功 伪造 一 个 CS-SM9- 


RIBS 签名 ， 则 仿真 算法 以 相同 的 概率 伪造 一 个 SM9-IBS 签 


名 。 


定理 2 证 毕 ! 


4 ”性 能 分 析 


前 , RRJ 


的 针对 


撤销 技术 
以 及 应 用 


节 首 先 从 理论 条 


Boneh-F 


其 他 标识 身份 签名 的 密 钥 撤销 算法 ， 
[实验 两 个 角度 分 析 秆 
的 密 钥 撤销 算法 的 性 能 ， 包 括 本 文 提 
的 CS-SM9-RIBS 算法 、 原 
ranklinPl38 H 2z 4H 


RIBS 算法 。 


从 


直接 应 用 Boneh-FranklinG] 通 
可 以 构造 针对 SM9-IBS 的 密 钥 撤销 算法 外 , 还 没 


SM9-IBS 的 密 钥 撤销 算法 。 但 是 存在 


j 密 钥 撤销 思想 


公开 发 表 
些 优 秀 的 针对 


如 [19,28~30]。 为 此 ， 本 
[比较 与 SM9-IBS 相关 


理论 上 分 析 本 文 提 出 


与 国际 上 其 他 可 撤销 标识 签名 算法 的 优势 。 


表 1 从 参数 大 小 、 
关 的 三 个 算法 的 性 


Hj SM9-IBS fH 


算法 中 ， 本 文选 择 使 ) 
中 群 的 阶 为 素数 > 。 


和 被 撤销 |) 


集合 UID 中 的 每 个 标识 小 9 ，B 询问 SM9-IBS 挑战 者 ， 获 取 
该 标识 的 密 钥 dse o B 将 密 钥 集合 uk = {dso borun 发 送 给 Ao 
同时 ，B 将 所 有 (19,dsw) 添加 到 集合 中 。 

(c) 签名 询问 . 24 A 询问 消息 M 在 身份 标识 为 id 和 时 刻 
t 下 的 签名 时 ， 念 真 算 法 B 首先 查找 集合 5 中 是 否 存在 以 
tO 为 标识 的 密 钥 dswo ， 其 中 9 必须 在 路 径 Path(0,) 上 ( 注 ; 本 
文 假设 A 总 是 可 以 先 询 问 上 时 刻 的 更 新 密 钥 )。 若 不 存在 ， 则 
B 直接 返回 上 给 A( 表 示 在 该 时 刻 记 已 被 撤销 )。 和 否则 ，B 利 
用 密 钥 dsw X BE, M =M Ile 进行 签名 ， 得 到 第 二 部 分 签名 
o =(,9) 。 接 下 来 , B ERRA L PREEN id 为 标识 的 
密 钥 dsu 。 若 存在 ， 则 B 利用 密 钥 ds, 对 消息 M =M le 进行 
签名 ， 得 到 第 一 部 分 签名 o -0.50; ERTE, BHNS M 
以 及 (身份 ) 标 识 直 6 发 送 给 SM9-IBS 的 挑战 者 ， 获 得 消息 M 
在 (身份 ) 标 识 :9 密 钥 下 的 签名 o =h, S) 。 最 后 ，B 将 签名 


在 


JA WAE; 
运算 和 配对 运算 。 在 比较 各 算法 月 
了 除 指数 运算 和 配对 运算 之 外 的 其 他 
该 项 不 存在 , “0 表示 该 项 几乎 不 需 
BF-SM9-RIBS 算法 中 ， 用 


在 表 中 ， 


算法 时 间 及 安全 性 等 到 


N 和 R 分 别 表 示 系 统 ) 


出 的 基于 完全 子 树 密 钥 
始 SM9-IBS 签名 算法 四 
撤销 技术 的 BF-SM9- 
的 CS-SM9-RIBS 算法 


E 论 角度 对 上 述 
能 进行 总 结 与 比较 。 在 这 些 
i 对称 双 线性 配对 ， 即 e:GxG 一 Gr ,其 


] 户 数量 


“EE”* 和 “P” 分 别 表示 一 次 群 元 素 的 指数 


j 需 运算 操作 次 数 时 ， 忽 略 
如 作 。 表 中 符号 “表示 
要 任何 操作 。 


临时 密 钥 ， 而 无 长 期 
中 心 临时 生成 的 更 


将 | 


时 刻 签名 的 签名 公 钠 


] 户 的 身份 标识 id 


密 钥 。 每 个 周 其 
新 密 钥 构成 。 更 新 


户 只 需要 保存 每 个 周期 的 
的 临时 签名 密 钥 由 密 钥 


与 时 间 周 期 + 级 


— 


应 的 为 撤销 用 户 。 


与 系统 用 户 数量 线性 


天 


比 , 更 新 


户 签名 密 钥 的 策略 是 
联 的 结果 idllt 表 示 当 前 
将 相应 的 私 钥 通过 安全 
户 密 钥 的 复杂 度 为 O(N -R) ， 
兽 长 。 对 于 本 文 提出 的 算法 ， 采 用 完全 


言 道 发 送 给 相 


子 树 技术 更 新 用 户 密 钥 ， 在 平均 情况 


为 O(R-log(N / R) 
从 表 1 中 


RIBS 两 种 算法 都 支持 用 


) 且 可 以 在 公开 


ID 发 送 给 A。 同 时 ，B 将 信息 Gd. M) 添加 到 集合 


o —- (01,05.t 


L, rH 


(d) 用 户 撤销 询问 . 24 A 在 1 时 刻 以 身份 标识 if 询问 撤 


不 需要 存储 长 


且 临 时 签名 密 钥 仅 为 1 个 群 元 素 。 
户 需要 存储 1 个 长 


， 更 新 密 钥 的 数量 仅 
言 道上 进行 传输 。 
的 比较 可 以 看 出 ，BF-SM9-RIBS 和 CS-SM9- 
户 密 钥 撤销 功能 ， 同 时 保留 了 原始 
SM9-IBS 算法 的 系统 参数 。 在 BF-SM9-RIBS 算法 中 ， 
期 签名 密 钥 
在 算法 CS-SM9-RIBS 中 ,用 


Pa 


期 签名 密 钥 。 


尽管 临时 签名 密 钥 包含 2 个 群 元 素 ， 但 是 它 包 括 了 用 户 的 长 
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录用 定稿 KIE, F: 高 效 的 可 撤销 SM9 标识 签名 算法 第 39 卷 第 9 期 
期 签名 密 钥 ， 不 需要 额外 空间 存储 该 群 元 素 。 在 签名 大 小 、 表 2 平均 执行 时 间 比 较 
签名 时 间 和 验证 时 间 方 面 ， 本 文 的 CS-SM9-RIBS 算法 是 原 Tab.2 Comparison of average execution times 
始 SM9-IBS 算法 的 2 倍 。 这 是 因为 ， 前 者 为 了 实现 用 户 密 钥 SM9-IBS ^ BF-SM9-RIBS CS-SM9-RIBS 
的 撤销 功能 ， 增 加 了 一 个 额外 的 签名 操作 。BF-SM9-RIBS 算 文献 [9] 文献 [3] 第 2.3 节 
法 在 参数 大 小 和 计算 效率 方面 和 原始 SM9-IBS 算法 几乎 一 长 期 密 钥 0.006s - 0.006s 
样 。 但 是 该 算法 的 密 钥 更 新 复杂 度 非 常 高 且 不 支持 公开 信道 更 新 密 钥 - 0.685s 0.006s 
传播 更 新 密 钥 。 临时 密 钥 - Os Os 
表 1 性 能 比较 签名 0.043s 0.042s 0.088s 
Tab.1 Comparison of performance 验证 0.467s 0.478s 0.852s 
SM9-IBS BF-SM9-RIBS CS-SM9-RIBS 从 表 2 可 以 看 出 , BF-SM9-RIBS 算法 生成 更 新 密 钥 的 时 
文献 [9] 文献 [3] 第 2.3 节 间 较 慢 ， 而 本 文 的 密 钥 更 新 算法 很 快 。 
BRAKI 3|G|+|G7| 3IGI+|Gz| 3IGI+IGz| 为 了 更 加 清晰 的 比较 CS-SM9-RIBS 算法 与 BF-SM9- 
系统 私 钥 大 小 p| p |p| RIBS 算法 更 新 用 户 密 钥 的 性 能 差异 , 测试 方案 设计 如 下 : 初 
长 期 密 钥 大 小 G| - IG| 始 化 的 系统 用 户 数量 WV 上 限 为 8192( 即 Tree 高 为 14)。 被 撤销 
更 新 密 钥 大 小 O(N-R)G| — O(RIog(N/R)IG| 用 户 的 数量 R 从 0 增加 到 100， 且 随机 选取 被 撤销 用 户 的 位 
临时 密 钥 大 小 (c 2|G| 置 ,图 4 展示 当 R 取 不 同 值 时 更 新 密 钥 生成 算法 的 时 间 开 销 。 
签名 大 小 IG E p] (G|e| p] 2|G|--2| p] 
长 期 密 钥 时 间 1E - IE E — BFSM9-RIBS | 
更 新 密 钥 时 间 O(N - R)E O(Rlog(N / R))E 50 | |-9- CS-SM9-RIBS 
在 时 密 钥 时 间 0 0 Nevers M E EE 
户 撤 销 时 间 0 0 a 
签名 时 间 2E 2E 4E m 
验证 时 间 1P+2E 1P+2E 2P+4E EP gem 
密 钥 更 新 信道 安全 信道 公开 信道 E p 
密 钥 撤销 功能 不 支持 支持 支持 p 
本 文 在 同一 环境 下 对 各 算法 进行 了 仿真 实现 ， 并 测试 了 00. 20 40 60 80 400 
平均 执行 时 间 。 编程 测 试 环境 为 : 2.4GHz InteliS-9300H CPU, 撤销 人 数 〈 人 ) 
16.0 GB 内 存 、Windows10 家 庭 中 文 版 操作 系统 。 图 4 更 新 密 钥 生成 算法 时 间 开 销 对 比 图 
本 文 主 采用 JPBC 库 对 上 述 三 种 SM9 签名 算法 进行 仿 Fig. 4 Comparison of time cost of update key generation algorithm 
实现 ， 选 取 的 椭圆 曲线 类 型 为 Type-F。 表 2 列 出 了 主要 算法 从 图 4 可 以 看 出 ， 当 系统 用 户 数量 较 大 ， 被 撤销 用 户 数 
运行 一 次 的 平均 时 间 ， 未 考虑 用 户 撤销 等 几乎 不 耗 时 的 算法 量 较 少时 ， 密 钥 中 心 利用 完全 子 树 技术 更 新 用 户 签名 密 钥 的 


以 及 仅 需 要 在 系统 建立 时 运行 一 次 的 系统 参数 生成 算法 。 测 。 ”时间 开销 要 远 远 小 于 Boneh 和 Franklin 的 直接 密 钥 更 新 技术 。 


试 的 算法 主要 包括 生成 长 期 签名 密 钥 的 用 户 注 册 ( 或 密 钥 提 最 后 ， 本 文 从 理论 上 比较 CS-SM9-RIBS 算法 与 国际 上 
”28-30 的 性 能 ， 进 一 步 说 
密 钥 生 成 算法 、 签 名 算法 和 验证 算法 。 对 于 更 新 密 钥 生成 算 明 CS-SM9-IBS 可 撤销 标识 签名 算法 的 优势 。 在 这 些 算法 中 ， 
其 他 算法 都 是 基于 标准 


取 ) 算 法 、 密 钥 更 新 算法 (包括 更 新 节点 选取 算法 )、 临 时 签名 ”针对 其 他 标识 签名 的 密 钥 撤销 算法 [ 


法 ， 运 行 时 间 不 仅 与 系统 用 户 数量 相关 ， 而 且 与 更 新 节点 集 ”除了 文献 [30] 基 于 三 线性 映射 群 外 ， 


合 的 大 小 相关 。 而 更 新 节点 集合 的 大 小 又 与 被 撤销 用 户 的 数 ”的 双 线 映 射 群 设计 的 。 表 3 将 给 出 


体 的 比较 结果 。 在 表 3 


量 及 其 在 二 又 树 中 的 位 置 相关 。 为 了 简化 分 析 ， 表 2 仅 考虑 。 中 ， 除 了 文献 [30] 外 ， 其 他 文献 中 的 符号 含义 与 表 1 中 的 符 


系统 中 有 100 个 用 户 且 无 用 户 被 撤销 的 情况 。 根 据 理论 分 析 ， 号 一 致 。 对 于 文献 [30]， C 表示 三 线性 映射 中 的 一 个 阶 为 素 
BF-SM9-RIBS 算法 需要 生成 100 个 更 新 密 钥 , 而 本 文 算法 仅 。 数 2 的 群 ， 而 “E” 和 “P” 分 别 表示 三 线性 映射 中 的 群 元 素 


需要 生成 一 个 更 新 密 钥 。 指数 运算 和 配对 运算 。 


表 3 与 其 他 可 撤销 标识 签名 算法 比较 


Tab.3 Comparisons with other revocable IBS algorithms 


文献 [19] 文献 [28] 文献 [29] 文献 [30] CS-SM9-RIBS 
临时 签名 密 钥 大 小 3|G| 4|G| 3|G| 3|C.| 2|G| 
签名 大 小 4IG| 41G] 4[G| 4|G;| 2(G|*2| p| 
签名 时 间 6E O(1)E 3E 6E 4E 
验证 时 间 4P O(1)P 4P-E 4P 2P-4E 
更 新 密 钥 时 间 O(Rlog(N - R))-E O(Rlog(N - R)-E O(N - R)-E O(R)-E O(Rlog(N / R))-E 


从 表 3 可 以 看 出 , CS-SMO-RIBS 算法 的 临时 签名 密 钥 和 


A 、 5 ”结束 语 
签名 大 小 比 其 他 方案 较 小 。 签 名 时 间 相 较 文献 [29] 多 一 次 指 


数 运算 ， 但 是 文献 [29] 的 更 新 密 钥 时 间 与 系统 用 户 数量 线性 针对 SM9 标识 签名 算法 存在 的 密 钥 撤销 问题 , 本 文 提出 
增长 。 文 献 [30] 的 更 新 密 钥 仅 与 被 撤销 用 户 数量 相关 , 但 是 该 ”了 一 种 可 撤销 SM9 标识 签名 算法 。 通 过 一 棵 完全 子 树 的 畏 


方案 依赖 三 线性 映射 ， 没 有 双 线 性 映射 的 理论 基础 成 熟 。 总 。 助 ， 可 以 实现 对 用 户 权 限 的 控制 ， 从 而 实现 密 钥 的 撤销 和 更 
体 而 言 ， 本 文 提出 的 CS-SM9-RIBS 可 撤销 标识 签名 算法 的 新 机 制 。 通 过 理论 分 析 和 实验 表明 ， 该 方案 相 比 于 BF-SM9- 


性 能 优势 更 明显 。 RIBS 算法 在 更 新 密 钥 方面 定 的 优势 。 在 后 续 的 工作 


IHE, F: 


中 ， 存 在 以 下 问题 值得 进一步 研究 ;该 方案 相 比 于 BF-SMO- 
RIBS 算法 在 签名 和 验 签 阶段 多 消耗 一 倍 的 时 间 , n] 2p 
究 耗 时 更 少 的 SM9 标识 签名 算法 的 密 钥 撤销 机 第 
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